Esta publicación forma parte de una serie de blog en curso en la que se analizan las “Apuestas seguras” (predicciones que es casi seguro que se cumplan) y las “Apuestas arriesgadas” (predicciones que es menos probable que se cumplan) con respecto a la ciberseguridad en 2017.  

2016 fue el año del ransomware en la ciberseguridad y este afectó especialmente a la sanidad. En esta publicación de blog, expondré algunas predicciones sobre el tipo de amenazas a las que se enfrentará el sector sanitario en 2017.

Apuestas seguras

1. El ransomware seguirá teniendo a la sanidad como objetivo

Supongo que esta predicción es obvia. El año pasado, muchos hospitales sufrieron ataques de ransomware. Los hospitales de California, Indiana y Kentucky se vieron gravemente afectados por variantes de ransomware que tienen como objetivo servidores, en lugar de PC de usuarios. Un hospital de Washington se vio afectado hasta tal punto que tuvo que trasladar a los pacientes a otras instalaciones para mantener una calidad de asistencia adecuada.

Los delincuentes han optado por el ransomware como su tipo ataque preferido debido a que los pagos con Bitcoin son anónimos y a que, como modelo de negocio, constituye una forma eficaz de recibir pagos sin que los atrape la policía. Atacan a la sanidad porque el vector de ataque para la variante de ransomware SAMSA, de gran eficacia, se realiza a través de servidores de aplicación JBOSS sin parches en la DMZ (el área orientada a Internet de una red).  Los hospitales que tienen muchos servidores de este tipo están sufriendo cada vez más ataques con éxito.

Con un poco de suerte, estos casos se habrán difundido lo suficiente entre las organizaciones sanitarias como para que hayan aplicado parches a las vulnerabilidades JBOSS o, al menos, las hayan mitigado. Sin embargo, esta tendencia no ha terminado.  El ransomware seguirá atacando el sector sanitario durante el 2017 a través de las áreas estándares de ataque: descargas ocultas basadas en la web, enlaces o archivos adjuntos de correo electrónico maliciosos y servidores sin parches en la DMZ.

2. Aumentará el uso compartido accidental de demasiada información en las aplicaciones SaaS, lo que se traducirá en la pérdida de datos de pacientes

Al personal médico le encanta utilizar aplicaciones SaaS para compartir archivos en la nube, como Box, Dropbox y Google Drive, ya que suplen la carencia que tienen muchas organizaciones empresariales: el uso compartido de archivos de forma sencilla. El problema que presentan las versiones públicas de estos servicios es que el usuario es el encargado de controlar quién tiene acceso a los archivos y resulta bastante sencillo configurar accidentalmente un archivo que contenga información médica protegida (PHI) para que se comparta con todos los usuarios de Internet. Las versiones empresariales de Box, por ejemplo, permiten a los administradores restringir el acceso público, pero muchas organizaciones sanitarias no bloquean las versiones gratuitas.

Escribí una publicación de blog a principios de este año sobre el tema de la seguridad de SaaS, junto con algunas recomendaciones para mitigar el riesgo. Hasta que las organizaciones sanitarias proporcionen un método aprobado para compartir archivos, tanto dentro de la organización como de forma externa, y bloqueen de manera proactiva los sitios web de uso compartido de archivos no aprobados, es probable que sufran pérdidas de datos de pacientes debido a que compartan accidentalmente demasiada información.

Apuestas arriesgadas

1. Un ciberataque a un dispositivo médico causará la primera lesión confirmada a un paciente

Muchos dispositivos médicos que se usan actualmente en las instalaciones sanitarias carecen de medidas de seguridad básicas. A menudo, estos dispositivos no cuentan con protección de endpoints y aplicaciones de parches regulares, y funcionan en sistemas operativos obsoletos, como Windows XP. Por estos motivos, se convierten en el blanco principal de malware y ciberataques.

Solo ha habido una orden de la FDA confirmada en la que se solicitaba la retirada de un dispositivo médico específico de los hospitales. Creo que el motivo por el que solo se ha redactado una es porque no hay suficiente investigación ni concienciación sobre el problema.  No se han realizado muchas investigaciones porque los dispositivos médicos son caros y no existe ningún incentivo financiero para realizar el tipo de investigación de seguridad necesario para detectar y corregir las vulnerabilidades de los dispositivos médicos.

Los atacantes motivados por el dinero han utilizado ransomware debido a la rapidez de los pagos y el anonimato, pero existe un tipo de atacante que sencillamente lo hace porque puede. Estos adversarios realizan ataques por diversión. Hasta la fecha no se ha confirmado ningún caso de daños físicos a pacientes debido a un ciberataque a un dispositivo médico, pero creo que es solo cuestión de tiempo hasta que un atacante malintencionado se aproveche del área más vulnerable de las redes de los hospitales —los dispositivos médicos— y desee mandar un mensaje.

¿Cuáles son sus predicciones de ciberseguridad para el sector sanitario? Comparta sus ideas en los comentarios y manténgase atento a la próxima publicación de esta serie en la que compartiremos predicciones para los servicios financieros.

CP17-infographic-phase4

Este artículo apareció originalmente en HealthDataManagement.com